Nem todo log técnico é aceito como prova em processos judiciais. Para que sejam admissíveis, é necessário que tenham origem identificável, integridade verificável e sejam mantidos em conformidade com normas de auditoria.
Logs que podem ser questionados incluem aqueles sem carimbo de tempo confiável, sem hash de integridade ou passíveis de alteração por administradores sem registro.
Boas práticas incluem: sincronização de tempo (NTP), registros imutáveis (write once, read many), uso de sistemas de SIEM com trilhas de auditoria e exportação assinada digitalmente.
A correta manutenção dos logs não é apenas questão técnica, mas requisito jurídico que pode definir a força probatória em litígios e investigações.
Imagem: iStock.com/mooltfilm